HiJackThis - Analisi Log - leggere Regole di Sezione

[steo31]

Purtroppo il pc non è il mio e non posso farla.....si può usare il log che ho postato? grazie

[tatovm2s]

ragazzi chi mi dà una mano? ultimamente il pc è lentissimooooooooo!! può essere perchè ho seguito i conisgli su come rendere + rapido windows, ma magari han funzinato al contrario?
http://www.fileup.itadib.com/downloa...WVWL6slNawBbmQ

[xcdegasp]

Quote:

Originariamente inviato da tatovm2s

ragazzi chi mi dà una mano? ultimamente il pc è lentissimooooooooo!! può essere perchè ho seguito i conisgli su come rendere + rapido windows, ma magari han funzinato al contrario?
http://www.fileup.itadib.com/downloa...WVWL6slNawBbmQ

fixa:

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-583907252-152049171-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

[tatovm2s]

@xcdegasp: grazie

[tothem83]

Potete dare un'occhiata al mio log di hijack? l'ho allegato a questo messaggio,quando apro internet explorer non mi si avvia al primo tentativo e spesso mi si aprono pagine di pubblicità di casinò e a volte mi si blocca tutto... grazie a tutti quelli che si interesseranno...

[xcdegasp]

Quote:

Originariamente inviato da tothem83

Potete dare un'occhiata al mio log di hijack? l'ho allegato a questo messaggio,quando apro internet explorer non mi si avvia al primo tentativo e spesso mi si aprono pagine di pubblicità di casinò e a volte mi si blocca tutto... grazie a tutti quelli che si interesseranno...

fixa:

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Documents and Settings\michele\Documenti\Programmi non utiliz\bs2\BearShare.exe" /pause
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [Nurb Mapi] C:\DOCUME~1\michele\DATIAP~1\CLOSEI~1\secondproc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

[wjmat]

Quote:

Originariamente inviato da steo31

Purtroppo il pc non è il mio e non posso farla.....si può usare il log che ho postato? grazie

Codice:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
016 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

io ti ho segnato anche tutte le voci relative a msn che eviterei di tenere...

IE va aggiornato
Avast e Pccillin da rimuovere in favore di Antivir
Installare un firewall, Online ormor
Rimuovere tutte le toolbar inutili
Tutte le info le trovi nel trattamento che ho in firma

[Urvin]

Potete dare un occhiata al mio log di HiJackThis?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.07.37, on 07/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione


--
End of file - 9807 bytes

[Mazda RX8]

@Urvin: leggi le regole di sezione...

[xcdegasp]

Quote:

Originariamente inviato da Mazda RX8

@Urvin: leggi le regole di sezione...

aggiungo che ha già un thread di assistenza quindi deve usare quello:
http://www.hwupgrade.it/forum/showthread.php?t=1759320

[xcdegasp]

Quote:

Originariamente inviato da Nicos18

Salve raga, potete leggere il mio log per vedere cosa dovrei eliminare? perchè ogni tanto apre una pagina di pubblicità e il computer è rallentato molto rispetto a ieri. fino a ieri sera avevo f-secure, mentre ora ho norton 2004. Grazie dell'aiuto

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa le seguenti voci:

Codice:

O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programmi\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [BMdf5026ea] Rundll32.exe "C:\WINDOWS\system32\uglnglkb.dll",s
O4 - HKLM\..\Run: [dc631576] rundll32.exe "C:\WINDOWS\system32\kmwgkdxf.dll",b

[Chill-Out]

Quote:

Originariamente inviato da Nicos18

la quarta voce l'ho fixata ma riappare sempre tra la lista, mentre la quinta se ne va tranquillamente. Come potrei fare? Inoltre le prime 3 voci sembrano legate a powerdvd 8. eliminandole che vantaggio ho? Poi un altra cosa. prima avevo f-secure internet security 2008. Ora all'avvio parte un processo chiamato fsm ma non è associato ad alcuna applicazione. per caso si riferisce a f-secure manager?

Riallega un nuovo log

[wjmat]

Quote:

Originariamente inviato da Nicos18

ecco il nuovo log

Fai controllare questi file su www.virustotal.com e su http://virusscan.jotti.org/

Codice:

C:\WINDOWS\system32\uglnglkb.dll
C:\WINDOWS\system32\kmwgkdxf.dll

Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione
Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by ► incollalo in un file di testo e allegalo.

Se dovessero risultare infetti, come crediamo, li facciamo sparire

[lancetta]

Quote:

Originariamente inviato da Nicos18

ecco il nuovo log

Sono indice di malware (dovrebbe essere il vundo) ti conviene postare nella sezione degli infetti.

[Mazda RX8]

Quote:

Originariamente inviato da Nicos18

allego i due report di total virus. l'altro sito non ho potuto usarlo perchè non lo carica.

io direi di toglierli...

[Fronk]

Salve a tutti!
Ieri un collega di mio zio gli ha dato un pc che non caricava il sistema operativo Windows XP Professional perchè mancava il file NTDRL.
Dopo che l'ho rimesso a posto dal cd di xp,l'ho riavviato senza problemi.
A questo punto ho pensato di fare uno scandisk ed una deframmentazione,lo scandisk è partito mentre la deframmentazione no.Dopo di ciò non son riuscito ad aprire neanche il task manager.Volevo anche aprire da "esegui" "msconfig" e "regedit" ma mi ha dato il medesimo errore della deframmentazione e cioè questo:

Generic Host Process for Win32 Services
Si è verificato un errore in Generic Host Process for Win32 Services.L'applicazione verrà chiusa.
Segnalazione del problema a Microsoft ecc...ecc..

Stamattina appena l'ho acceso mi è ricomparso questo errore.
Ho cominciato a fare una scansione on-line con Kaspersky ma mi è venuto il dubbio che la scansione on-line segnala solo i virus ma non li elimina,confermate?
Ormai il pc sta a casa mia e visto che mio zio ci tiene,vorrei riconsegnarglielo in ordine,quindi ho eseguito HiJackThis e sotto allego il log.
Se riuscite a dargli un'occhiata e a capire se l'errore che mi appare dipende da qualcosa che compare nel log,in ogni caso ditemi se ci sono voci inutili o altri problemi in modo da potergli sistemare il pc in tutto e per tutto oltre a quell'errore saputo.
Ne approfitto per chiedervi nel caso dovessi aprire una nuova discussione riguardante quel messaggio di errore,se la sezione più indicata è quella che riguarda i "virus" o quella relativa ai "sistemi operativi"?
Grazie

[wjmat]

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

Codice:

F3 - REG:win.ini: run= 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] msword.exe
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\Run: [dsgb] C:\Documents and Settings\Capo Pescatore\sadjl.exe
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] msword.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKCU\..\Run: [dsgb] C:\Documents and Settings\Capo Pescatore\sadjl.exe

Poi io se fossi in te aprirei una discussione e comincerei a seguire la guida alla disinfezione per infetti
Poi guarda qui per aggiornare XP al sp2 e IE alla 7 e mettere il pc in sicurezza.
Ciao

[xcdegasp]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

Codice:

F3 - REG:win.ini: run= 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] msword.exe
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\Run: [dsgb] C:\Documents and Settings\Capo Pescatore\sadjl.exe
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] msword.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKCU\..\Run: [dsgb] C:\Documents and Settings\Capo Pescatore\sadjl.exe

Poi io se fossi in te aprirei una discussione e comincerei a seguire la guida alla disinfezione per infetti
Poi guarda qui per aggiornare XP al sp2 e IE alla 7 e mettere il pc in sicurezza.
Ciao

aggiungo queste due righe da fixare:

Codice:

O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

[lancetta]

Quote:

Originariamente inviato da Nicos18

allego i due report di total virus. l'altro sito non ho potuto usarlo perchè non lo carica.

E' la nuova variante del vundo, prima di fixarli devi fare la procedura di disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1603273
e solo alla fine riavviare perchè altrimenti se non viene cancellato tutto l'infezione viene ricreata (in questo ultimo tipo di malware).

Saluti

[lancetta]

Quote:

Originariamente inviato da Nicos18

quindi è il vundo che mi crea alcuni problemi, come rallentamento e siti che non caricano?

L'infezione che vedo io è quella, se non cominci a risolvere questa non sapremo mai se c'è dell'altro.
Comunque si, comporta anche questo genere di problemi.